Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Uważaj, komu powierzasz dane osobowe

PrintMailRate-it

2 lutego 2018 r. 

 
Przedsiębiorca, jako administrator danych osobowych nierzadko przekazuje dane osobowe dostawcom z różnych branż, którzy stają się w ten sposób podmiotami przetwarzającymi. Od tego, w jaki sposób wybierani będą dostawcy usług oraz w jaki sposób sformułowane zostaną umowy powierzenia danych zależeć będzie nie tylko bezpieczeństwo przetwarzania danych, lecz również zgodność działań przedsiębiorcy z wytycznymi RODO. Kary administracyjne za niedopełnienie obowiązków związanych z przetwarzaniem (w tym przekazywaniem) danych osobowych mogą być dla przedsiębiorców bardzo dotkliwe.
 
Przykładem takiej sytuacji jest zawarcie umowy o prowadzenie kadr, czy ksiąg finansowych z firmą outsourcingową, gdzie występuje tzw. powierzenie przetwarzania danych osobowych. RODO definiuje pojęcie podmiotu przetwarzającego, jako: osobę fizyczną lub prawną, a nawet organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu przedsiębiorcy. W momencie, kiedy administrator przekazuje temu podmiotowi dane, następuje ich powierzenie, a to z kolei wiąże się z dwoma istotnymi obowiązkami po stronie administratora (przedsiębiorcy powierzającego).
 

Obowiązki administratora danych


Pierwszym, wzbudzającym najwięcej kontrowersji obowiązkiem jest wybór podmiotów przetwarzających, które zapewniają wystarczające gwarancje przestrzegania wymogów RODO i chronią prawa osób, których dane dotyczą. To administrator musi samodzielnie ocenić, czy wybrany przez niego dostawca usług dysponuje koniecznymi w tym celu środkami technicznymi i organizacyjnymi.
 
W jaki sposób przedsiębiorca miałby weryfikować dostawców czy potencjalnych kontrahentów pod kątem spełniania powyższych przesłanek? RODO w pierwszej kolejności sugeruje przeprowadzenie „audytów, w tym inspekcji” przez administratora danych bądź „upoważnionego przez niego audytora”. Rozwiązanie to może okazać się nieefektywne, szczególnie w przypadku gdy przedsiębiorca korzysta ze wsparcia wielu dostawców usług outsourcingowych. 
 
Inicjatywę może przejąć także podmiot przetwarzający poprzez wykazanie, że przestrzega zasad zatwierdzonego kodeksu branżowego bądź też przez uzyskanie stosownego certyfikatu w zakresie prawidłowości przetwarzania danych. Póki co, polskie przepisy nie przewidują żadnego systemu certyfikacji w zakresie ochrony i przetwarzania danych osobowych. Niemniej  RODO i przepisy projektu nowej ustawy o ochronie danych osobowych przewidują wprowadzenie mechanizmu certyfikacji. Rödl & Partner wspólnie z Cybercom Poland i Polskim Centrum Badań i Certyfikacji przygotowują się do sprostania wyzwaniom nowych regulacji dotyczących certyfikacji, aby uzyskać uprawnienia do nadawania certyfikatów.

Do czasu wejścia w życie nowej ustawy o ochronie danych osobowych przedsiębiorcom przetwarzającym dane oraz administratorom pozostaje stosowanie doraźnych środków, np. uzyskanie opinii niezależnego eksperta i okazywanie jej kontrahentom przed zawarciem umowy, względnie umożliwianie im przeprowadzania audytów ochrony danych (przy czym wszystkie te zasady powinny zostać uregulowane w stosownej umowie). Dobrą praktyką powinno być wprowadzenie zasad (wewnętrznych procedur) wyboru kluczowych dostawców, w ramach których zweryfikować będzie można kwestie ochrony i przetwarzania danych osobowych.
 

Umowa powierzenia przetwarzania danych


Powierzenie przetwarzania danych wiąże się także z obowiązkiem zawarcia stosownej umowy, która określi przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których one dotyczą, jak również obowiązki i prawa administratora. Nie jest to nowość, ponieważ obecnie obowiązująca ustawa o ochronie danych osobowych przewiduje obowiązek zawarcia umowy o powierzeniu przetwarzania danych w formie pisemnej, nie zawiera jednak tak szczegółowych regulacji w zakresie wymaganej treści umowy.
 
Zgodnie z wymogami RODO, umowa powierzenia przetwarzania danych osobowych musi w szczególności określać, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
  • zapewnia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy,
  • podejmuje wszelkie środki zapewniające bezpieczeństwo przetwarzania, przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (określonych w RODO), w miarę możliwości pomaga administratorowi (za pomocą odpowiednich środków technicznych i organizacyjnych) wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO (np. prawo do bycia zapomnianym,  przenoszenia danych), pomaga administratorowi wywiązać się z powinności dotyczących bezpieczeństwa przetwarzania, zgłaszania naruszeń, oceny skutków dla ochrony danych i uprzednich konsultacji, po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa ich istniejące kopie, chyba że prawo UE lub prawo państwa członkowskiego nakazuje przechowywanie danych, udostępnia administratorowi informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów(w tym inspekcji) i przyczynia się do nich.
 
Należyte wykonanie powyższych obowiązków strony mogą obwarować w treści umowy stosownymi karami umownymi lub innymi środkami mającymi na celu przymuszenie do wykonania obowiązków. Obecnie wprowadzanie postanowień umownych, które zawierają klauzule o podobnym lub zbliżonym zakresie jak przepisy RODO nie jest standardem. Kwestie te będą regulowane w każdym przypadku indywidualnie, z uwzględnieniem pozycji przedsiębiorstw na rynku, rozmiaru prowadzonej działalności czy branży, w jakiej funkcjonują.
 

Standardowe klauzule umowne i dobre praktyki


Należy wspomnieć, że Komisja Europejska, a także organ nadzorczy (docelowo Prezes Urzędu Ochrony Danych Osobowych) będą mogły przedstawić standardowe klauzule umowne, które z pewnością niejednokrotnie posłużą jako wzór do regulowania tego rodzaju umów. Obecny projekt nowej ustawy o ochronie danych osobowych przewiduje też możliwość wydawania przez polski organ nadzorczy zbiorów dobrych praktyk, stanowiących wskazówki, w jaki sposób dostosować prowadzoną działalności do wymogów RODO. Z pewnością pomoże to przedsiębiorcom w procesie przygotowania się do wejścia w życie RODO, jednak pod warunkiem że dobre praktyki zostaną  wydane w rozsądnym czasie przed 25 maja 2018 r.
 
Przedsiębiorcy, którzy powierzają przetwarzanie danych osobowych powinni już teraz podjąć stosowne kroki, aby zminimalizować ryzyko wystąpienia sytuacji, w której ich dostawcy usług nie będą spełniać gwarancji przestrzegania wymogów RODO. Obok ryzyka naruszenia bezpieczeństwa powierzonych danych istnieje też zagrożenie nałożenia przez organ nadzorczy kary administracyjnej w wysokości do 10 000 000 EUR, albo w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa). Ta sama sankcja może grozić przedsiębiorcom w przypadku braku zawarcia umowy o przetwarzanie bądź też zawarcie takiej umowy w sprzeczności z wymogami RODO. W tym przypadku ryzyko grozi zarówno administratorowi danych, jak i podmiotowi przetwarzającemu. 
 

Jeśli są Państwo zainteresowani omówieniem szczegółów dotyczących tematu RODO, eksperci Rödl & Partner pozostają do Państwa dyspozycji. W przypadku gdyby byli Państwo zainteresowani naszą pomocą w przeanalizowaniu praktyk stosowanych w Państwa przedsiębiorstwie oraz dokumentacji dotyczącej ochrony danych osobowych pod kątem ich zgodności z obecnymi, a także nadchodzącymi regulacjami, służymy wsparciem i doradztwem prawnym. Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, Warszawa, Wrocław.

Kontakt

Contact Person Picture

Jarosław Kamiński

adwokat

Partner

+48 694 207 482

Wyślij zapytanie

Profil


Deutschland Weltweit Search Menu